JAK CHRÁNIT OSOBNÍ ÚDAJE?

I faktury obsahují osobní údaje. Živnostníkům hrozí milionové sankce

JAK CHRÁNIT OSOBNÍ ÚDAJE?
I faktury obsahují osobní údaje. Živnostníkům hrozí milionové sankce

Obsah dostupný jen pro předplatitele.
Přihlásit se můžete zde.

Pokud nemáte předplatné, nebo vám vypršelo, objednat si ho můžete .

Echo Prime

Obsah dostupný jen pro předplatitele.
Předplatné můžete objednat zde.

Pokud nemáte předplatné, nebo vám vypršelo, objednat si ho můžete zde.

Echo Prime

V květnu příštího roku začne platit evropské nařízení na ochranu osobních údajů, kterému se zkráceně říká GDPR. To se dotkne prakticky všech firem a institucí, které nějakým způsobem zpracovávají osobní údaje. Týkat se přitom bude i drobných podnikatelů a živnostníků, kteří „fakturují“, protože i faktury obsahují osobní údaje, které GDPR podléhají. Pokud by je živnostník špatně uchovával a někdo by je zneužil, mohl by dostat vysoké pokuty.

Evropskou novinku v současné chvíli řeší státní instituce, nemocnice i školy, ale také velké korporace, e-shopy či IT firmy. Nařízení totiž zpřísňuje to, jak můžou firmy a úřady s osobními údaji nakládat, a jak je mají uchovávat. Zpozornět by ale měly i ty nejmenší podniky a živnostníci, kteří mají pocit, že se jich GDPR netýká.

„Vůbec netuším, že se mě nějaké takové nařízení týká. Řekl bych, že to spíš je mířené ně větší firmy. Samozřejmě, že mám na své klienty mobilní čísla a emaily. Faktury mám uklizené doma v knihovně, ale netušil jsem, že bych je měl nějak zabezpečovat,“ uvedl například truhlář ze severních Čech serveru Echo24. I jeho se ale GDPR týká. Je totiž jedno, jak je podnik velký či malý a jestli funguje v offline nebo online režimu. Prakticky vždy s nějakými osobními údaji pracuje.

Pokud podnikatel poskytuje služby nebo prodává služby klientům na základě faktury, evropské nařízení se ho týká. Faktury totiž osobní údaje obsahují a jelikož je musí podnikatel ze zákona po jistou dobu uchovávat, zpracovává osobní údaje. Jedná se tak o další povinnost, kterou by si měl každý podnikatel ohlídat. Za nedodržení GDPR totiž hrozí obrovské pokuty.

Milionové sankce

„Výše pokuty může v případě porušení některých ustanovení dosáhnout až 10 milionů eur nebo v případě firem dvou procent celkového ročního obratu celosvětově za předchozí finanční rok, podle toho, která hodnota je vyšší, a v případě porušení určitých ustanovení dokonce 20 milionů eur či čtyř procent celosvětového ročního obratu firmy,“ uvedla pro server Echo24 Jan Břeská ze Sdružení pro internetový rozvoj (SPIR). To se evropským nařízením zabývá dlouhodobě a pro podnikatele připravilo i návod.

Pokuta by se ale měla odvíjet od finanční situace podnikatele, nemělo by se tak stát, že živnostník s obratem pár milionů korun ročně dostane pokutu v řádech milionů eur. „Jsou-li správní pokuty uloženy fyzickým osobám nikoliv podnikům, měl by dozorový úřad při rozhodování o odpovídající výši pokuty zohlednit obecnou úroveň příjmů v daném členském státě, jakož i ekonomickou situaci dané osoby. Obecně platí, že pokuty mají být v každém jednotlivém případě účinné, přiměřené a odrazující, nikoliv likvidační,“ dodala Břeská.

Ilustrační foto - Shutterstock

GDPR stanovuje řadu povinností. Drobní podnikatelé a živnostníci, kteří nezpracovávají osobní údaje nad rámec stanovený zákonem či smlouvou mají výhodu, že se jich týkají jen některé povinnosti na rozdíl od velkých společností, které například systematicky pracují s osobními údaji on-line. Pokud totiž zpracování osobních údajů vyplývá z právních povinností, nebo se jedná o zpracování vyplývající ze smluvního vztahu mezi oběma stranami, nemusí podnikatel žádat o souhlas s tímto zpracováním.

Stačí stížnost od nespokojeného klienta?

Pokud drobní podnikatelé a živnostníci zpracovávají osobní údaje pouze na základě smluvního vztahu, nemusí zřizovat pozici „pověřence pro ochranu osobních údajů“, kterého budou muset mít velké firmy a instituce, nebo zpracovávat analýzu dopadů ochrany osobních údajů. Z nařízení pro ně vyplývá jen to, že musí zhodnotit, jestli mu nehrozí riziko úniku údajů a na základě toho přijmout opatření. Prakticky tak musí zajistit, aby měl správně zabezpečené faktury, nemohl mu je někdo ukrást, nebo třeba stáhnout z počítače a následně je zneužít. A po uplynutí zákonné lhůty je musí správně zlikvidovat. 

Pokud už má živnostník nějaké zaměstnance, měl by je proškolit, jak osobní údaje chránit. A SPIR doporučuje vytvořit jednoduchý vnitřní předpis a nebo kodex. Může to být totiž užitečné v případě kontroly nebo při řešení nějakého problému s únikem osobních údajů.

Kontrolovat podnikatele bude v Česku Úřad na ochranu osobních údajů (ÚOOÚ). Podle šéfky ÚOOÚ Ivany Janů s největší pravděpodobností budou probíhat kontroly na základě stížností. „Ani dnes nehlídáme všechny přímo. Zdrojem pro naše kontrolní kroky jsou stížnosti, které nám chodí, a problémy, které hýbou společností. Kontrolu ale můžeme nařídit i tam, kde k úniku dat ještě nedošlo,“ uvedla v rozhovoru pro E15.

Při rozhodování o tom, zda uložit správní pokutu, a rozhodování o výši správní pokuty v jednotlivých případech se řádně zohlední mimo jiné způsob, jakým se dozorový úřad dozvěděl o porušení, zejména zda správce či zpracovatel porušení oznámil, a pokud ano, v jaké míře. „Záleží také na tom, jak ten, u koho došlo k porušení ochrany osobních údajů, prokáže, že přijal nezbytná opatření, aby takové situaci zabránil, a pokud už tato situace nastala, jaké kroky podnikl za účelem minimalizace škod. Rozhodně bychom tedy nedoporučovali únik osobních údajů tajit, protože by to mohla být přitěžující okolnost,“ dodala Břeská.

Na GDPR si připravují i profesní asociace. „Je to pro nás velmi důležité téma, kterému se věnujeme mimořádně pečlivě a proto jsme připravili pro podnikatele a pro ostatní profesní svazy, spolky a asociace mnoho podpůrných nástrojů,“ uvedl předseda Asociace malých a středních podniků a živnostníků Karel Havlíček.